BLOG PCDUE - PCDUE Assistenza COMPUTER e NOTEBOOK dal 2001

Quali conseguenze hanno le fughe di dati per i dipendenti? Per rispondere a questa domanda, iniziamo ad esplorare le cause della maggior parte di tali incidenti che, secondo la mia esperienza, sono spesso radicate nella noncuranza, nell’irresponsabilità dei dipendenti o nella gestione inefficace. In altre parole, non importa il punto di vista da dove si guardi il fenomeno, il fattore umano è il cuore del problema delle fughe di dati aziendali.

Provate a chiedere ai dipendenti quali modifiche al proprio workflow aiuterebbero a migliorare la produttività e il livello di soddisfazione sul lavoro. In genere le persone vogliono lavorare seguendo un sistema qualsiasi che possa adattarsi alle proprie esigenze e senza interferenze. Ad esempio, per quanto riguarda la gestione delle autorizzazioni sul proprio computer, l’ideale per loro sarebbe avere la possibilità di installare qualsiasi software, dare l’accesso ai dati e ai sistemi del proprio team a loro discrezione., invitare liberamente persone in ufficio… insomma, cose di questo genere.

Allo stesso tempo, quasi nessuno è veramente disposto ad assumersi la responsabilità di ciò che vuole o che gli fa comodo. Molti dipendenti (e a volte anche i loro manager) sono compiacenti e credono di essere in qualche modo protetti, da minacce informatiche e vulnerabilità (non importa cosa facciano), da certi “maghi” che sono pronti a salvare la situazione. Naturalmente, noi esperti di sicurezza informatica aziendale facciamo sempre del nostro meglio per proteggere gli utenti, ma non siamo onnipotenti.

La seconda causa degli incidenti più gravi di fughe di dati è, in generale, la gestione inefficace dei processi aziendali, che comprende anche le azioni (o la loro mancanza) del personale addetto alla sicurezza delle informazioni e dell’IT. Un’azienda che fa sul serio con la sicurezza informatica non subisce gravi danni perché un dipendente inserisce una chiavetta USB con un file infetto o apre un’e-mail con un allegato dannoso o un URL pericoloso. In ogni caso, deve verificarsi una catena di errori di questo tipo:

Ognuno di questi fattori è una conseguenza di una decisione. Tuttavia, la causa generale dell’incidente è il risultato di una combinazione dei fattori. Il modo in cui l’incidente influisce sulla motivazione del personale dipende in gran parte dalla risposta del personale dirigente, e a volte le misure che un’azienda adotta per prevenire il ripetersi di tali incidenti possono fare molti più danni dell’incidente stesso.

Ecco un esempio del mondo reale: una banca ha subito più volte incidenti di sicurezza derivanti sia da attacchi esterni sia da errori dei dipendenti. Di conseguenza, i sistemi della banca sono andati fuori uso per un certo periodo di tempo. La direzione, nel tentativo di motivare il personale responsabile e di punire i colpevoli, ha licenziato più volte il personale informatico e di sicurezza. Allo stesso tempo, pur sapendo che il sistema bancario automatizzato presentasse delle vulnerabilità strutturali, la direzione non ha stanziato alcun budget per creare un nuovo sistema o per riparare quello vecchio. I dipendenti più esperti si sono resi conto che chiunque avrebbe potuto commettere un errore un giorno, e l’azienda ha preferito assumere nuove persone invece di risolvere il problema di fondo, così hanno presto trovato lavoro altrove. I nuovi dipendenti avevano una scarsa comprensione del sistema dell’azienda, che era stato sviluppato in house e, di conseguenza, commettevano ancora più errori di sicurezza e impiegavano più tempo nella manutenzione dei sistemi perché non disponevano delle nozioni essenziali. Di conseguenza, i clienti hanno lasciato la banca, che è scivolata dalla sua posizione nella top 50 al di sotto del 200° posto.

A mio parere, è importante non demotivare i propri dipendenti. Al contrario, aiutateli a comprendere le loro responsabilità, i valori dell’azienda e l’importanza del proprio contributo e di quello dei loro collaboratori. Potete dimostrare tutto questo attraverso il supporto materiale, il rispetto reciproco e la definizione di regole chiare.

Le regole aziendali in materia di sicurezza delle informazioni devono spiegare in modo semplice e chiaro cosa è o non è ammissibile e cosa deve fare il personale in caso di un incidente informatico, anche in termini di privacy e riservatezza. Il team leader deve comunicare chiaramente le informazioni ai subordinati, e durante e dopo un incidente informatico, spiegare il problema e le sue conseguenze (che possono includere sanzioni). Ciò aiuta a mantenere una sana atmosfera di squadra e può aiutare l’azienda a evitare di ripetere gli stessi errori.

È possibile utilizzare questa road map di sicurezza informatica per concentrarsi sulla motivazione del team e sulla riduzione dell’impatto degli incidenti informatici: